专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
今天看啥  ›  专栏  ›  看雪学苑

使用模拟器进行x64驱动的Safengine脱壳+导入表修复

看雪学苑  · 公众号  · 互联网安全  · 2019-02-17 17:57
0x00  概述近日闲的蛋疼发现一款某地外挂被火绒爆勒索,本来准备安排一哈它的勒索功能。 结果发现sys直接明文存放在exe里,我也懒得花钱,遂dump之。IDA看了下发现是Safengine Shielden v2.4.0.0。0x02  分析直接加载sys后发现往afd.sys挂了一个注册表回调,回调入口是跳板。由于驱动直接加载会返回C0000001导致立刻被卸载,无法直接dump。于是改用模拟器加载并在真实DriverEntry处dump整个sys内存:经过调试发现Safengine保护的驱动会使用DriverObject->DriverSection进行PsLoadedModuleList的遍历并修复导入表。如果在模拟器中给上假的DriverSection会导致SE访问到非法内存。于是我们给模拟器补上自己伪造的PsLoadedModuleList和DriverSection:DriverObject.DriverSection = (PVOID)m_DriverLdrEntry;补完后可以正常执行到 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照